https://opennet.ru/openforum/vsluhforumID1/77938.html Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт Индейца.<br>Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты запросами только с одного IP (его кстати в логах не удалось найти).<br><br>#####tcpdump <br>07:30:31.772671 IP ClientIP.3118 &gt; ServerIP.80: S 4096236745:4096236745(0) win 65535 &lt;mss 1460,nop,wscale 1,nop,nop,sackOK&gt;<br>07:30:31.772696 IP ServerIP.80 &gt; ClientIP.3118: S 4059908013:4059908013(0) ack 4096236746 win 65535 &lt;mss 1460,sackOK,eol&gt;<br>07:30:31.900154 IP ClientIP.3118 &gt; ServerIP.80: . ack 1 win 65535<br>07:30:32.001140 IP ServerIP.80 &gt; ClientIP.4954: F 1928146960:1928146960(0) ack 2246546695 win 65535<br>07:30:32.094187 IP ServerIP.80 &gt; ClientIP.4960: F 465066408:465066408(0) ack 1118953903 win 65535<br>07:30:32.100304 IP ClientIP.3130 &gt; ServerIP.80: S 1811031781:1811031781(0) win 65535 &lt;mss 1460,nop,wscale 1,nop,nop,sackOK&gt;<br>07:30:32.100319 IP ServerIP.80 &gt; Cl https://opennet.ru/openforum/vsluhforumID1/77938.html#6 Wed, 19 Dec 2007 14:09:49 GMT &gt;Атаки с одного адреса называются DoS, с двух и более - DDoS, <br>&gt;автор юзайте netstat -antup или sockstat -4, сразу будет понятно, <br>&gt;и поставьте mod_limitipconn. <br><br>С помощью этих утилит и узнал что у меня 75% коннектов инициализировано с одного IP. <br>Как ограничить я знаю, вопрос в другом был: что это такое? <br>Поведения клиента похожа на сканинг/атаку или просто его глючность?<br><br> https://opennet.ru/openforum/vsluhforumID1/77938.html#5 Tue, 18 Dec 2007 23:54:39 GMT &gt;[оверквотинг удален]<br>&gt;Так перед тем как закрыть его я и хочу разобраться что это <br>&gt;такое. <br>&gt;<br>&gt;&gt;Добавлю: <br>&gt;&gt;Для анализа http трафика удобнее использовать ngrep, например так: <br>&gt;&gt;ngrep -d iface -q -W byline GET src host a.b.c.d <br>&gt;&gt;выведет построчно все get запросы с хоста a.b.c.d <br>&gt;<br>&gt;При чём тут http трафик? в приведённом выше логе tcpdump'a видно что <br>&gt;ни байта полезной информации передано не было, только установлено tcp/ip соединение. <br><br>Атаки с одного адреса называются DoS, с двух и более - DDoS, автор юзайте netstat -antup или sockstat -4, сразу будет понятно, и поставьте mod_limitipconn.<br> https://opennet.ru/openforum/vsluhforumID1/77938.html#4 Tue, 18 Dec 2007 16:35:43 GMT &gt;Не бывает того, что этот ip который вы определили, но в логе <br>&gt;так и не нашли. <br><br>error.log включен в debug режиме, access.log пишется. Нигде упоминания о таком IP нет.<br><br>&gt;Так же соглашусь что атак с одного ip не бывает, но бывают <br>&gt;криво написанные боты и иже с ними приходилось сталкиваться с подобными <br>&gt;чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите <br>&gt;письмо владельцу адреса или не пишите все зависит от того чего <br>&gt;вы хотите добиться :) <br><br>Так перед тем как закрыть его я и хочу разобраться что это такое.<br><br>&gt;Добавлю: <br>&gt;Для анализа http трафика удобнее использовать ngrep, например так: <br>&gt;ngrep -d iface -q -W byline GET src host a.b.c.d <br>&gt;выведет построчно все get запросы с хоста a.b.c.d <br><br>При чём тут http трафик? в приведённом выше логе tcpdump'a видно что ни байта полезной информации передано не было, только установлено tcp/ip соединение.<br><br> https://opennet.ru/openforum/vsluhforumID1/77938.html#3 Tue, 18 Dec 2007 14:49:53 GMT &gt;Спасибо за "исчерпывающий" ответ :(. <br>&gt;<br>&gt;&gt;Так не бывает. <br>&gt;<br>&gt;Чего не бывает? <br>&gt;<br>&gt;&gt;Атаки с одного ip никто не делает. <br>&gt;<br>&gt;Чего в жизни не бывает. У нас в мире только профессиональные вредители <br>&gt;живут? <br><br>Не бывает того, что этот ip который вы определили, но в логе так и не нашли.<br>Так же соглашусь что атак с одного ip не бывает, но бывают криво написанные боты и иже с ними приходилось сталкиваться с подобными чудесами. Закройте адрес фаерволом и посмотрите на результат, если помогло напишите письмо владельцу адреса или не пишите все зависит от того чего вы хотите добиться :)<br><br>Добавлю:<br>Для анализа http трафика удобнее использовать ngrep, например так:<br>ngrep -d iface -q -W byline GET src host a.b.c.d<br>выведет построчно все get запросы с хоста a.b.c.d<br> https://opennet.ru/openforum/vsluhforumID1/77938.html#2 Tue, 18 Dec 2007 14:28:07 GMT Спасибо за "исчерпывающий" ответ :(.<br><br>&gt;Так не бывает. <br><br>Чего не бывает?<br><br>&gt;Атаки с одного ip никто не делает. <br><br>Чего в жизни не бывает. У нас в мире только профессиональные вредители живут?<br> https://opennet.ru/openforum/vsluhforumID1/77938.html#1 Tue, 18 Dec 2007 13:51:36 GMT &gt;Периодически начал наблюдать залипание Apacha: нет сообщений об ошибках, загрузка ресурсов сервера <br>&gt;близка к 0, но количество обрабатываемых запросов резко падает, помогал рестарт <br>&gt;Индейца. <br>&gt;Сейчас заметил что в период "залипания" из 256 процессов Апача 75% заняты <br>&gt;запросами только с одного IP (его кстати в логах не удалось <br>&gt;найти). <br><br>Так не бывает.<br>&gt;[оверквотинг удален]<br>&gt;07:30:34.070177 IP ServerIP.80 &gt; ClientIP.4984: F 3543671429:3543671429(0) ack 1449752267 win 65535<br>&gt;07:30:34.125919 IP ClientIP.3166 &gt; ServerIP.80: S 3519236291:3519236291(0) win 65535 &lt;mss 1460,nop,wscale 1,nop,nop,sackOK&gt;<br>&gt;07:30:34.125938 IP ServerIP.80 &gt; ClientIP.3166: S 344466251:344466251(0) ack 3519236292 win 65535 &lt;mss 1460,sackOK,eol&gt;<br>&gt;07:30:34.191313 IP ClientIP.4984 &gt; ServerIP.80: . ack 1 win 65535<br>&gt;07:30:34.255317 IP ClientIP.3166 &gt; ServerIP.80: . ack 1 win 65535<br>&gt;07:30:34.422283 IP ClientIP.3178 &gt; ServerIP.80: S 453909562:453909562(0) win 65535 &lt;mss 1460,nop,wscale 1,nop,nop,sackOK&gt;<br>&gt;07:30:34.422304 IP Serv